「バイオハザード」のカプコンがランサムウェア感染し、データ漏洩

カプコンに犯罪者集団　Ragnar Locker がデータを盗んだとして、11億円と引き換え（身代金）を要求（2日以内に支払えば割引、という文言もあったようです）
　　　↓
カプコンは顧客データが盗まれた証拠がないと表明
　　　↓
Ragnar LockerがWebサイトにカプコンから盗んだデータを一部公開
　　　↓
カプコンはデータ被害を認め、最大35万人分顧客データ、社内財務データ、従業員人事ファイルを盗み出された可能性があると発表、身代金は支払わないとのこと。

というような状況です。

盗まれたデータを見ると、人事、経理関係に見えませんか？開発中案件やプログラムは盗まれてなさそうです。

私の勝手な想像ですが、

人事、経理担当者にメールが来た。そのメールには悪意のあるファイルが添付されていた
　　　↓
人事、経理担当者がメールを開き、感染
　　　↓
人事、経理担当者が開いたファイル（財務データや人事ファイル）に次々感染

というようなルートを想像してしまいます。

さて、ここで当社が採っている対策はなにか、ということなのですが、

• Windowsを使わず、Macを使う
• VPNをNTTフレッツ網内接続を使う
• 取引先以外のメールはユーザーも含めメールフォームから受け付ける
• ユーザーのクレジットカード番号は非保持

ということをしています。

（OSのアップデートやアンチウイルスソフトは当然のこととして入れていません。）

Wikipediaでランサムウェアを調べてもらえればわかりますが、ランサムウェアもほとんどはWindowsがターゲットです。

そこで当社では社用PCはすべてMacで統一しています。

しかし、完璧にMacにはできていません。Mac内でWindowsを動かしたりしています。

なぜかと言うと業務上、どうしてもWindowsが必要になってしまう場面があります。それは主に、経理関係なのです。特に、銀行のオンラインに法人としてアクセスする場合、Windowsを使わなければならないことがほとんどです。

次のNTTフレッツ網内接続というのは、聴き慣れない言葉だと思いますが、NTTフレッツ網は閉じたネットワークになっていて、インターネットには出れません。また、網内はとても高速になっています。このあたり、興味のある方は、ソフトイーサ社のこちらのページをご覧ください。

これにより、通常のVPNより確実に安全なVPNになっていると言えます。

３番目のメールフォームから受付、についてですが、ランサムウェアの侵入経路の一つがメールの添付ファイルです。この対策をすることで、かなりリスクを減らせていると思いますが、最近では、取引先をかなり上手に装った偽メールも来ることがあるようなので、安心はできません。

もっと良い対策はないか？と考えて、思いついたことを書いてみます。

• メール自体やめてしまい、LINEやFacebookメッセンジャーなどで代用する
• 盗まれても公開されないよう、すべてのファイルにパスワードを付ける
• 個人情報はできるだけ持たないようにする
• 銀行取引はすべてスマホにする（法人で可能かどうかわかりませんが）

書いてみると、やればできそうな気がしてきました。少しずつ、しかし確実に取り組んでいきたいと思います。

11年ぶりにテレビを買い換え、パナソニックのテレビ「ビエラ」にしました。

これまで使っていたのは、東芝のREGZAです。ネットワーク機能が強く、オタクには人気でした。

DLNAガイドラインに対応していて、NAS（ネットワークハードディスク）にテレビ番組を録画でき、他のテレビから再生もできるというような機能がありましたが、結局あまり使いませんでした。

今回、テレビを東芝からパナソニックに変えるので、USB接続のハードディスクに録画した番組をいったんNASにコピーしておけば、パナソニックから見えるだろうということでNASにコピー（実際にはムーブ）しておきました。

ビエラリンクという名前を覚えていて、きっとそれがネットワーク機能で、パナソニックもかなり頑張っていると勝手に思っていたのです。

そして、配送当日、新しいテレビ「ビエラ」を搬入し、古いテレビ「REGZA」は持って行ってもらいました。

テレビのインターネット接続は簡単に終了。最近のテレビは、リモコンにNetflixやAbemaTVのボタンがあることにびっくり。進化してるなあ、と思ったわけです。

そしていよいよNASにアクセスします。

あれ？？？なにもない？！NASにアクセスしても中身がなにもないのです！

あとになって気づいたのですが、DLNAは2006年3月にDLNA1.5が発表されて以降、更新なし、ビエラリンクも2013年以降、更新なし、ということで、どちらももう過去のモノでした。

DLNA自体は、「家電、モバイル、およびパーソナルコンピュータ産業における異メーカー間の機器の相互接続を容易にするために2003年6月に結成された非営利業界団体」(Wikipediaより）です。

2011年当時、すでにDLNA1.5が発表されており、日本のメーカーも対応していましたが、それでもメーカー間の接続はなかなかうまくできませんでした。その中で東芝のREGZAはDLNAガイドラインを忠実に守っていたのだと思いますが、他社との接続がとてもうまくいく機種だという噂を聞き、購入したという経緯があります。

私としては、当然、新しい機種はもっと他社製品との接続も簡単になっているに違いないと思っていたのですが、現実は逆で、今は同じ会社の製品でも録画データは共有できないとかになっているようです。著作権保護の観点もあるかとは思います。

この話をあまりITに強くない人に話したところ、こう言われました。

「昔は、VHSのビデオテープに撮っておけば、テレビを買い換えても見れたのに、今は不便だね」

うーむ。たしかにその通りです。。。（汗）

NeWork（ニュワーク）というNTT Communicationsが作っている「ワークスペースアプリ」があります。

いまのところ、名称はさまざまですが、「仮想オフィススペースアプリ」とか、「バーチャル会議システム」というように呼ばれているものの一つです。

わかりやすく言うと、オンラインでテレワークするにあたり、コミュニケーション不足を補うアプリです。主に映像と音声を使い、実際には家で一人で仕事をしているのだけれど、近くに仲間がいてグループでワークしている感じを出そうというものです。

実際に、当社ではRemoやRemottyを使って、いろいろと試してきました。今は、NeWorkを使っています。

こういったツールは、オンライン飲み会や誕生会のようなイベントにも使えるものが多く、当社ではZOOMで誕生会をやったり、Remoで誕生会をやったりしてきましたが、今月は、NeWorkで誕生会をしました。

NeWorkは部署ごとに分かれているのですが、誕生会というテーブルを作り、そこにみんなで集まりました。

ただ、一つのテーブルには24人までしか入れず、残りの人は聞き耳機能という、声は聞こえるけれど話せないという機能を使いました。

まずは全員集まって、司会進行がはじまります。

しかし、ここで問題が起きました。20人を超えるあたりで動作が不安定になってしまいました。上記で21人しか写っていないのはそのためです。

それでもなんとかスタートし、5人くらいずつのグループに分かれて、食事と懇談です。今回も3500円までのデリバリーを各自が頼みました。

まずは食事内容を見せ合ってからスタート。

食事が終わると、また全員集まって、誕生月の人のクイズを出すなどして盛り上がりました。

ここでも若干動きが不安定だったのは、改善要求を出しておきました。

まだバージョンも低く不具合もありますが、ワークスペースアプリとしては今のところ無料で利用できますし、これで当分行こうと思っています。

時代が変わっても価値が変わらないものなーんだ、で始まるオープンハウスのCMがありますが、

『愛』

と答えたいところですが、駅近の土地が正解だそうです。

夢見る小学生に現実を教えていますね（笑

さて、ドメインの世界ではどうなっているでしょうか？

実は、ドメインの世界では、おカネより、地位より、宝石よりも

愛が一番なのです。

詳しくは、「あなたの知らないドメインの.世界」をご覧ください。

Go To Eatキャンペーンには、プレミア付き食事券発行と、オンライン飲食予約のポイント付与の2種類があります。

プレミア付き食事券は各自治体が発行するもので、10月下旬から順次発行される予定になっています。

ここでは10月1日から使えるようになった、オンライン飲食予約のポイントをどこでもらうのが得か、という比較をしてみました。

まず、オンライン飲食予約のポイント付与とは、

農水省が指定したサイトで予約した場合、

ランチタイム（6:00～14:59）は500円分

ディナータイム(15:00～翌5:59)は1,000円分

のポイントが付与される、というものです。

Go To Eatキャンペーン自体には、ひとり1ヶ月何回まで、のような制限はありませんが、オンライン飲食予約サイトごとに、制限や追加のポイント付与などがあります。ここではそれを一覧にまとめました。

Go To Eatにからませて、独自キャンペーンを張っている予約サイトもあります。

たとえば、ぐるなびの「楽天ポイント最大12,000ポイントプレゼントキャンペーン」は下記のようなものです。

初回だけですが、Yahoo!ロコの初回20%というのもすごいです。

うまく組み合わせられれば、Eatだけに、おいしいキャンペーンになりそうです。

(10/3 18:11 飲食予約サイトで1日あたり、1ヶ月あたり利用制限が異なることを追記
 10/5 13:05 ポイント以下の飲食でもOKとの農水省のQAを記載
 10/5 21:35 ホットペッパーの制限について誤りを修正）

今日10月1日からGo To Eatキャンペーンがはじまりました。

Go To Eatキャンペーンは、２種類あって

①プレミア付き食事券を都道府県（商工会議所、事務局など）が発行する
　プレミアは都道府県によって違い、10%〜25%くらいの幅がある
（まだ発行した自治体はない模様。10/1の農水省の資料には東京、北海道などはなく、33府県となっている）

②オンライン予約
　ぐるなび、食べログなどオンライン飲食予約サイトから予約すると、
　ランチ1人あたり500円、ディナー1人あたり1,000円分
　の各飲食予約サイトの独自ポイントをもらえる

という２種類です。今日、私がトライしたのは、②のオンライン予約です。

まず、最初の難関

オンライン予約サイトは当日予約ができないことが多い

のです。なんとか当日予約できる店を見つけ、19時を予約しました。

食べたのはお蕎麦でして、会計をすると935円？！もしかしてこれで1,000円分のポイントがもらえてしまうのか？まだポイントはついていないのでわかりません。(10/5追記 農水省のQAに、500円の夕食でも1,000ポイントもらえると書いてありました。https://gotoeat.maff.go.jp/faq/）

ちょっと探してみたら、下のように実質無料をうたうものも出てきてて、いろいろカオスになりそうです。

オンライン予約の場合、現場でいくら払ったかは予約サイトはわからないので、一律1,000円というのも仕方ないかなと思いますが、ちょっとオンラインの方が有利だと思います。

なぜなら食事券は最大で25%程度の割引にしかならないので、1回1,000円分お得になるのは、4,000円で5,000円分の食事券を購入し、5,000円以上の食事をした時だけだからです。さらに言えば、食事券は前払いで紛失のリスクもあります。また、発行枚数にも限りがあり、入手困難になるのではないでしょうか？それに対して、オンラインは1ヶ月間、昼、夜と使えば、1日1,500円、1ヶ月で45,000円分お得になります。

農水省のページには、オンラインの回数制限は書かれていないのですが、ぐるなびには、下記のように1日2回、月１０回までと書かれています。

HOT PEPPERグルメでは、1ヶ月10回の制限はないようですが、下記をご覧ください。1日1回しか加算されないようです。ランチとディナー両方使いたい人は要注意です。

1日1回しか加算されないと思い、「来店日が同一日時」とあるのは、「来店日が同一日」の間違いではとホットペッパーに問い合わせたところ、下記回答をいただきました。同一日時で正しいそうです。1日の上限、1ヶ月の上限もないが、同一日時の予約が複数ある時（そういうことがなぜ発生するのかわかりませんが）は、ポイントの多い方だそうです。

飲食予約サイトでこうも違うとなると、これは注意が必要ですね。

さて、実際に利用してみると、これはいろいろ悪用されてしまいそうだ、と感じました。

どういう方法かは、ここで書くことは憚られますが、人数分一律ポイント付与、対象のオンライン予約サイトが13ある、あたりが弱点になりそうです。

来週あたり、テレビのワイドショーで、混乱するGo To Eat、というような報道がなされるのではないかと思います。

まずはじめに、この文章は2020年9月21日午前10時に書いています。それまでに私が入手可能な情報に基づいたものであり、全貌が判明しない中での記述になりますので、事実誤認等がある得ることをご承知おきください。

少し長くなるので、先に目次を。

①ドコモ口座詐欺の概要

②口座引き落としの歴史的経緯

③ワルイ奴らの出口戦略

④結論

①ドコモ口座詐欺の概要

まず、ドコモ口座詐欺の概要ですが、

本人が知らないうちにドコモ口座を開設され、そのドコモ口座と銀行口座が連携されていた。銀行口座から引き落としをされたお金がドコモ口座に入金され、使われた。

というものです。

犯人側がしたことは、下記のドコモ口座「ご利用開始までの流れ」の通りです。

これを、被害者名義で行ったのです。

（上図には、dアカウントにドコモの電話番号を登録する、とありますが、現在はドコモ以外でも登録できるので、説明が間違ってますね）

被害が判明しているのは11行ですが、ドコモ口座連携している銀行はこちらです。これ以外の銀行であれば、安心です。

報道によれば、銀行口座登録時に口座番号や暗証番号を入力する画面があったとのことですが、一度も間違えていないということから、犯人は事前に、被害者の口座番号や暗証番号を入手していたと考えられます。

こうやって入手したドコモ口座を利用して、銀行からドコモ口座にチャージし、その金額をセブン銀行ATMで引き出したり、ショッピングで利用したと考えられます。

②口座引き落としの歴史的経緯

今回使われた、ドコモ口座の銀行口座連携は、一種の銀行引き落としと言えます。

銀行引き落としをする会社や商店は、当たり前のことですが、銀行に口座があり、銀行と取引をしています。信用のある会社であって、悪いことはしないのです。この大前提が銀行にはあったはずです。

つまり、銀行としては”安心して”お客様の口座からお金を出し、引き落としをしている会社や商店、今回の詐欺の場合はドコモにお金を移すわけです。銀行としては、預金者のお金をドコモに移動したのであって、ドコモ口座のユーザー宛ではないのです。

近年、オレオレ詐欺、特殊詐欺という振込による詐欺が横行していますが、銀行としては振込出金はとても注意深く見ています。また、インターネットバンキングでも振込、特に振込出金に関する通知はeメールで届く銀行がほとんどです。

それに対して、口座引き落としをしたという通知が来る銀行は稀です。

「残高不足で口座引き落としに失敗した」という通知が来る程度なのです。

さらに言えば、そもそも「口座引き落とし契約をした」という通知が来ないのです。（私が調べた範囲なので、来る銀行があるかも知れませんが）

もし、ドコモ口座と連携した瞬間にメール通知が来ていれば、かなり防げたと思います。この点は、銀行のシステムを変更してほしいと思います。

以下に、みずほ銀行のFAQを載せておきます。

③ワルイ奴らの出口戦略

ここからは私の見解です。

今回の銀行口座連携をする時に、暗証番号等のミスはなかった、ということですから、犯人は事前に、フィッシングにより被害者口座の情報を得ていたのではないでしょうか？

口座情報は持っていて、いつでもインターネットバンキングでログイン可能な状態だったのです。

では、なぜすぐにログインしなかったのでしょうか？

それは、「普段と違うログインをした場合、セキュリティがかかったり、預金者本人に通知がいくことがある」からです。

そして、ログインしたところで、振込をする場合は、さらにパスワードが必要な場合が多く、そこをクリアして振込をしたとしても、振込先口座から足がついてしまう可能性があるのです。

つまり、ワルイ奴らは、「口座情報は手に入れたけど、これをどうやってカネにするか？」という出口戦略が必要だった。そして、このドコモ口座が出口戦略にぴったりだった、ということなのです。

すでに口座情報はワルイ奴らの手に渡っているという前提の上で、ワルイ奴らの出口戦略を潰す、ということが重要だと思います。

④結論

私たちにできる防衛策はなんでしょうか？

こまめにパスワード を変更する、というのがよく言われますが、あまりいい策ではないと考えます。頻繁に変えるとパスワード 自体忘れてしまいやすくなったり、一番心配なのは、パスワードを変えてください、というフィッシングメールにもひっかかりやすくなりそうだからです。

ペイメントアプリと銀行口座を結びつけないようにする、というのも一見いい手のように思えますが、今回のドコモ口座のようにペイメントアプリ自体、なりすましをされてしまうと意味がありません。

あまり有効な手立てはないなあと思うのです。

私は何をしているかというと、各銀行のスマホアプリを入れておき、入出金をこまめにチェックしています。あまりPCでアクセスしないようにしています。たいていのフィッシングは、Webでアクセスさせるので、アプリでやっていればフィッシングサイトにつながるおそれがありません。

一方、銀行側でできる有効な策はたくさんあります。

取引や口座引き落とし契約があったら、eメール通知を預金者にする、というのを徹底してもらえれば、それだけでいいので、是非やってほしいです。

（そもそもの話になりますが、ペイメントアプリに銀行からのチャージって必要でしょうか？クレジットカード連携でいいと思いますし、クレジットカードを使いたくなければ、コンビニATMで引き出してすぐにチャージもできますし、リスクを考えると必要ないと思います。）

さて、上に述べたことは、防止ではなく早期発見です。

防止するには、本人認証をできるだけ厳格に行う必要があります。

本人認証は、ある意味、永遠の課題なわけです。印鑑登録をしている印鑑を持っていれば、本人と認定する、という昔からの方法も、穴がなかったわけではありません。一般の窓口業務では、運転免許証を提示して本人確認をしますが、これとて、免許証偽造もあり得ますし、免許証の写真と本人が同じかどうか、窓口の人の判断なので、どんなにやっても少しの穴はできてしまうのだろうと思います。

私は、本人認証については、マイナンバーカードに期待しています。

オンラインだけ（＝パスワード ）で済ませず、実物のモノである、マイナンバーカードとスマホのICカードリーダー機能を使うことでかなり安全性が高まると思います。

マイナンバーカードも偽造することが可能かも知れませんが、偽札同様、偽造するコストを高めることで、この種の犯罪を事前に防止できるはずです。

以上、ドコモ口座をめぐる件で、私がつらつら考えたことでした。

人知の及ばぬ３２ビットの空間に、
名前がついたその日から、
見知らぬあなたと、見知らぬあなたに、
ウェブの糸がつながった
ドメインの織りなす運命を解き明かす
あらたな世界の扉が開かれる
それが、あなたの知らないドメインの世界

というオープニングナレーション、というか、音声がないのでオープニングメッセージではじまる、『あなたの知らないドメインの.世界』ですが、2020年9月15日現在、第76回の連載となっています。

「歴代総理大臣　佐藤さん、田中さん、安倍さんになくて、宇野さんにあるものは？」

というものが第30回でしたが、菅さんにもないものがあります。

それは、ドメイン名です。

「.uno」だけがドメイン名として存在しています。

詳しくは、https://あなたの知らないドメインの.世界/uno　をご覧ください。

オンライン飲み会でZOOMより良いと評判の『Remo』を、社内オンライン誕生会に使ってみました。

上図をご覧いただければわかりますが、定員6名の各テーブルに着席するようになっています。基本的に会話はテーブル内で行われます。

どのテーブルに誰がいるかもわかります。

そして参加者は自由に席を移動することが可能です。

「立食パーティ」と思っていただければわかりやすいかと。

今回も、各自にデリバリーを取ってもらってオンライン食事会をするというスタイルにしました。

Remoでは、最前列の前にはステージがあり、そこに立って喋ると、全員に声が届くようになっています。

ZOOMにはブレイクアウトルームというものが作成でき、小部屋に分けることができます。セミナーで講師の話を聞いたあと、小グループでディスカッションするという利用には非常に使い勝手がいいのですが、参加者が自分で移動できないので、そこが大きな違いです。

誕生日を迎えた社員に関するクイズなどを出して、1時間楽しく過ごしました。

ここまでの説明だけだと、ZOOMよりRemoが良さそうと思われた方も多いかもしれません。

しかし、Remoには重大な弱点があります。

それは、値段￥￥￥￥￥です。

なんと一番安いプランで月額100ドル（年間契約）です。

フリープランもありますが、たった14日間です。今回はその14日間の間で、オンライン誕生会をやってみました。

ZOOMが年間契約、米ドル支払い、クーポン利用で年間82.44ドル（月額換算6.87ドル）と比較しても、非常にお高いです。

（クーポンコードは　SALJKZA3290-ZOOM　です。今でも使えるかわかりませんが、10日前くらいは使えました。）

もっと言うと、40分制限さえ我慢すれば、ZOOMは無料版でもブレイクアウトルームに分けられるのですが、オンライン飲み会だと40分は短すぎますね（笑）

なんでも自分で試すをモットーとしている私は、今やバーコード決済はほぼすべて私のiPhoneに入っていたり、海外に行けば各地固有の配車アプリを試したりしているわけですが、家電コントロールもいろいろと試しています。

家電コントロールで何が面倒くさいかと言えば、Amazonエコーや、Google Homeの設定ではなく、スマートリモコンの設定です。

私がこどものころ、近所には高橋模型店というプラモデル店がありました。

その当時からすでにおじさん、というよりおじいさんに近い店主がやっていました。歩いて3分という距離だったこともありますが、専門店で品揃えが豊富で、おもちゃ屋さんよりも高橋模型店に行くのが好きでした。

高橋模型店でプラモデルを買っては組み立てるのが、小さな子供にとってはとても夢のある楽しい作業でした。

そのうち、「タミヤ」のものが一番好きになりました。

なぜか？

答えは簡単で、タミヤの模型は、子供でも組み立てられたのです。

設計図にある通り組み立てようとするのですが、他社のものは組み立てられないときがありました。

手順①と手順②が逆になっている、というようなちょっとした誤植、大人なら簡単にわかりそうな誤植ですが、子供にはわかりません。そのままやろうとして、どうしてもできないで大人に見てもらうと、いとも簡単にやってくれるわけです。

そうやって完成しますが、満足感はすごく少なくなります。大人に手伝ってもらったからです。自分自身でやり遂げた、という満足感が得られないのです。

タミヤの模型の設計図は、その点、完璧でした。

設計図にまったく間違いがないのです。その通りにやればできたのです。

結果、タミヤのプラモデルを組み立てた全国の子供たちは、大いなる達成感を得て、またタミヤを買う、ということになり、今や、タミヤは世界でも有名なメーカーになりました。

設計図は、他の業界ならマニュアルとかFAQのことと言ってもいいと思います。

マニュアルは、しっかり作るべきですよね。これが実はなかなかできません。

マニュアルは、Web上に作れるので、昔のように印刷しないだけでもかなり楽になりました。修正も簡単です。

当社でも、常にFAQを見直して修正してよりよいものにしようとしていますが、これが本当に難しいです。一年中、修正していますが、とりあえずここでいったんできあがったかな、と言える状態になったことがありません。

ただ、たまに当社のFAQがSNSで拡散される時があり、そういう時はちょっと誇らしい気持ちになります。（最近ではGoogle DNSを使う方法が拡散されました）

Wi-Fiルーターを取り替えた時です。スマートリモコンはWi-Fiで接続されますから、スマートリモコンの設定も変える必要があります。

やりたいこととしては、スマートリモコンのWi-Fi接続先を変える、これだけです。

マニュアルを見る　→　記載なし

FAQを見る　→　工場初期化をしろ、と書かれている

普通に考えると、工場初期化をしたら、すべての設定がなくなりますので、すべての家電をまたイチから設定しなおしか、と大いに落胆しました。

Wi-Fi接続先を変えるだけでイチから設定し直すくらいなら、またそのうちあるだろうから、違う製品に変えようかと思いました。

ネットで情報を探すと、この製品の工場初期化では各種設定はなくならない、ということがわかりました。普通、工場初期化と言えば、すべてまっさらになる、をイメージしますよね。逆に、すべてまっさらにはできないってことか？（笑）

この製品とは、ラトックシステムのRS-WFIREX4です。とても使いやすい製品で愛用しています。

いろいろと操作その他も、玄人っぽいというか、技術者が作ったんだろうなぁというような作りになっています。その分、若干マニュアルも技術者寄りです。

今回の件も、書いてる側からすれば、自社の製品の工場初期化で設定が失われないのは当たり前なので書かなかったのでしょうが、ひとこと、書いておいてほしかったですね。そういうちょっとした点が、タミヤの設計図と同じで大きな差になるので。

技術的にすぐれた製品が、たまにこういう点で失敗するので、そういうことのないよう、ラトックシステムさん、がんばってください。